Április 17-én a redditen egy malware-ről számoltak be, ami a jailbreakes felhasználókat érinti, és az Apple ID-kat valamint az azokhoz tartozó jelszavakat továbbítja egy vélhetően kínai szerverre. Azt jelenleg nem lehet tudni, hogy a malware honnan került az érintett készülékekre, de a megoldás szerencsére egyszerű.
Azt sem lehet tudni egyelőre, hogy mi áll az egész mögött, hiszen például az Apple ID-nkhoz beállított bankkártyák adatait az Apple “cenzúrázva” tárolja, így azok csak úgy nem lophatóak el, egy új eszközön való vásárláskor pedig a CCV kód újbóli megadása is szükséges. Viszont mivel az aktivációs zárral lezárt készülékek a lezáráshoz használt Apple ID és jelszó nélkül jelenleg gyakorlatilag nem kelthetőek életre, még akár ez is állhat a dolog hátterében.
Unflod.dylib
A malware az Unflod.dylib fájlként foglal helyet az érintett készülékeken, és egy MobileSubstrate kiegészítő, így az alábbi útvonalon található meg a fájlrendszerben:
/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib
Minden futó folyamat esetén figyeli az SSL kapcsolatot, egészen pontosan az SSLWrite-hoz kapcsolódik a Security.framework esetén, és keresi a bufferben a megfelelő stringeket, amik az Apple ID-t és a jelszót rejthetik. Ha ilyet talál, kiszedi azokból az Apple ID-t és a jelszót, így például egy App Store-os letöltés vagy mondjuk Game Centeres bejelentkezés közben képes azt megszerezni, majd mindezt egyszerű szövegként továbbítja. Jelenleg 2 IP cím az, amire elküldheti ezeket az adatokat a 7878-as porton keresztül: 23.88.10.4 és 23.228.204.55.
A kínai eredetre utal az is, hogy a binárist egy kínai fejlesztő iPhone fejlesztői tanúsítványával írták alá, aminek valójában nincs sok értelme, mert ha úgyis csak jailbreakelt készülékeken fut, akkor az aláírás gyakorlatilag felesleges is (vagy csak ez is egyfajta elterelés):
$ codesign -vvvv -d Unflod.dylib Executable=./Unflod.dylib Identifier=com.your.framework Format=Mach-O thin (armv7) CodeDirectory v=20100 size=227 flags=0x0(none) hashes=3+5 location=embedded Hash type=sha1 size=20 CDHash=da792624675e82b3460b426f869fbe718abea3f9 Signature size=4322 Authority=iPhone Developer: WANG XIN (P5KFURM8M8) Authority=Apple Worldwide Developer Relations Certification Authority Authority=Apple Root CA Signed Time=14 Feb 2014 04:32:58 Info.plist=not bound Sealed Resources=none Internal requirements count=2 size=484
Természetesen Wang Xin lehet egy nem létező személy, vagy valaki, akinek szintén csak ellopták az adatait, mindenesetre az Apple biztosan utána fog járni ennek is. Ezen felül az aláírás dátuma február 14., így ez a malware egy ideje már terjedhetett anélkül, hogy bárki is felfedezte volna.
Az Unflod.dylib működését részletesen elemzi a SektionEins oldalának cikke.
Mit tehetek?
A legegyszerűbb megoldás, ha ellenőrzöd, hogy létezik-e a fent említett fájl a készülékeden. Ha nincs ilyen fájl, akkor nem érint téged ez a malware. Ha viszont találsz ilyen fájlt, akkor azt rögtön töröld le, és azonnal változtasd meg az Apple ID-d jelszavát a https://appleid.apple.com oldalon!
Ezután még érdemes lehet bekapcsolni a kétlépcsős azonosítást is, ha az már elérhető az Apple ID-d esetén: Kétlépcsős azonosítás: magasabb biztonság az Apple ID-nkhoz
Azok számára pedig, akik nem akarnak manuálisan nyúlkálni a készülékük fájlrendszerében, készítettünk egy cydiás csomagot, ami ellenőrzi, hogy létezik-e az Unflod.dylib fájl, és eltávolítja, ha igen, illetve ebben az esetben szintén figyelmeztet a jelszó módosításának fontosságára. Ha ezt a megoldást választod, akkor keresd a Szifon Source-on az Unflod.dylib malware fix csomagot:
A cydiás csomag csak a telepítése közben ellenőrzi és törli adott esetben a malware-t, a csomag ezután szükségtelen, így nyugodtan törölhető.
A malware kapcsán előkerült az is, hogy esetleg egy (vagy több), warezt tartalmazó cydiás source állhat az egész hátterében, így mi továbbra sem ajánljuk, hogy bárki is tört kiegészítőket telepítsen a készülékére, mert akár ilyen “mellékhatások” is elképzelhetőek.
Amennyiben újabb részletek is kiderülnek, természetesen frissítjük a cikket.
21 Comments
(A moderálási elveinknek megfelelően a cikkeknél minden OFF-topic hozzászólást törlünk. Kérünk, használd a keresőt, vagy ha az nem ad eredményt, a Gyakran Ismételt Kérdések cikknél tedd fel a kérdésed!)
És ha feltelepítettem, de nem adott be semmit se akkor jó minden és nincs rajta Malware!?
Nekem noncs jb,de egy koszit mondanek nektek,hogy csinaltatok ra alkalmazast,hogy akinek van meg tudja nezni.
@daved14: a Cydia a telepítés során kiírja, hogy mi a helyzet, tehát ha nem figyelted, hogy mit ír ÉS egyébként használsz tört kiegészítőket, akkor érdemes Apple ID jelszót változtatnod.
Bár a készülékem szerencsére nem fertőzött, szeretném én is megköszönni a csomagot! Jó tudni, hogy "vigyáztok" ránk!
2013 vagy 2014? Frissítés: itthon is elérhető
Május 11-ével a magyar ID-val rendelkező felhasználók számára is elérhetővé vált ez a biztonsági lehetőség. Az esetleg felmerülő kérdésekben pedig az Apple vonatkozó tudásbázis-cikke lehet a segítségünkre, ha elakadnánk, vagy az alábbi cikk alapján nem kapnánk választ mindenre.
@Perzio: 2013 óta elérhető kell már legyen, 2014 májusa meg nem lehet, hiszen még csak április van.
Köszönöm a csomagot, szerencsére nem voltam fertőzött, de tényleg minden elismerésem, hogy ennyire törődtök az olvasóitokkal!
Koszonom szepen az ertesitest! No fertozes :))
Egy megkérdőjelezhetően legálisan feltört telefonon kijelenteni, hogy az ott levő cuccot törvénytelen engedély nélkül felhasználni szerintem több mint vicces 🙂 Cook bácsi személyesen írt nektek levelet, hogy mehet rá a JB? Gondolom nem….
Megtaláltam, megcsináltam, el is szállt minden cydiás csomagom. Köszike
@dnp: a jailbreak nem illegális még az Apple szerint sem, mert még ők is azt mondják, hogy csak adott esetben minősül a garanciális feltételek megszegésének. a DMCA alól kivették a jailbreaket, és legjobb tudomásom szerint azóta sem került vissza alá. a csomagunk meg a saját szellemi termékünk, én kérek elnézést, amiért időt mertem tölteni azzal, hogy az adott esetben fertőzött készülékedről a lehető legegyszerűbben le tudd törölni a malware-t… ha meg nem tetszik ez a kitétel, akkor ne használd a csomagot, csináld meg manuálisan.
@Hapsika6: a mi csomagunk semmi ilyesmit nem okozhat, mert csak a cikkben említett fájlt törli, amit manuálisan is törölhetsz. ott valami más miatt történt ez.
@Jade: nincs JB cuccom 🙂 Nem érint a probléma
Engem ugyan nem érint, de szeretnék köszönetet mondani az infóért és azért is, mert csináltatok rá egy appot, amivel el lehet távolítani. Királyak vagytok!
@dnp: engem sem érint, nekem sincs jailbreakelve, csak a teszt eszközök. ettől függetlenül a lényeg az, amit fentebb írtam.
Sajnos nem elég figyelmesen olvastam a cikket és letörültem a DynamicLibrarise-t. Ez volt a baj gondolom. Helyrehozható valahogy?
Bocs Libraries
Helyrehoztam
@Jadeye : meg nincs fent Two-Step Verification beallitast. :-/
@Jadeye: meg nincs fent Two-Step Verification beallitast. 🙁
@Perzio: igen, az Apple tudásbázis-dokumentuma azóta sem említi Magyarországot, de úgy emlékszem, anno többen is említették, hogy nekik elérhető lett. persze elképzelhető, hogy csak átmenetileg volt így, nem tudom. én amerikai ID-t használok, ott ez bekapcsolható. ez esetben akkor várni kell, míg a te ID-d esetén is elérhetővé válik.